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Kundenanschrift 


ONTOP Service 

ONTOP (ONline Technical OPeration) ist ein Verfahren zur Femwartung von OS/390 
Rechnersystemen, das die IBM ihren Kunden im Rahmen von Operational Support 
Servicevertragen (Comfort Line) zur Verfiigung stellt. 

ONTOP ist seit 1986 verfiigbar und wurde bis 1999 ausschlieBlich iiber SNA Verbindungen 
als Online Service betrieben. 


Mit diesem Antrag werden 2 Neuerungen eingefiihrt: 

1. ONTOP (TSO/ONTOP) liber IP 

Hier handelt es sich um die bekannte Online Verbindung, die als TELNET Netz zu Netz 
Verbindung zwischen dem IBM ONTOP Host und dem Kunden ONTOP Host geschaltet 
wird. 

2. ONTOP (BTOP/ONTOP) iiber IP 

BTOP (Batch Technical OPeration) ist eine erweiterte Funktionalitat zu ONTOP und 
kommt dann zum Einsatz, wenn es darum geht Massendaten zwischen IBM und Kunden 
auszutauschen. Die Dateniibertragung erfolgt mittels IP-FTP. (Optional zu ONTOP) 


Nach der Einrichtung der Verbindung, kann ein IBM Spezialist im Fehlerfall aus dem IBM 
SNA Netz heraus iiber das Security Gateway NVAS/ONTOP das Kundensystem anwahlen 
und dort mit Hilfe der vorinstallierten TSO/REXX-ISPF Anwendung das Problem, von 
seinem Arbeitsplatz aus, bearbeiten. 

Experten zum Problem zu bringen und nicht das Problem zum Experten, 

das ist das Ziel von ONTOP. 
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Aufgaben der IBM 

1. Einrichten des jeweiligen Kunden im ONTOP/NVAS auf IBM Seite 

2. Einrichten des jeweiligen Kunden auf dem IBM Router 

3. Bereitstellen der techn. Beschreibung der Netzverbindung (Bestandteil des Antrags) 

4. Installation, Anpassung und Test der REXX-ISPF/ONTOP Anwendung auf Kundenseite 

5. Entscheidung fiber den Einsatz von ONTOP 


Aufgaben des Kunden 

1. Bereitstellung der fiir die Netzverbindung notwendigen Hardware 

2. Einrichten der von IBM vorgegebenen Adressen und Routen 

3. Bereitstellung von mindestens 2 TSO Userids fiir IBM auf dem zu wartenden System 

4. Anpassung der TSO/REXX-ISPF Anwendung bei Anderungen im Kundensystem 

5. Sicherstellung des Zugriffs auf alle von der IBM fiir die Analyse benotigten Ressourcen 

6. Information der IBM iiber Anderung der Verbindungsdaten 


Kosten 

Der ONTOP Service ist Bestandteil von IBM Operational Support Services (Comfort Line) 
Vertragen und somit durch diese Vertrage finanziell abgedeckt. 

Verbindungskosten tragt die IBM, da der Verbindungsaufbau stets von IBM Seite erfolgt. 
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Copyright 

Die auf dem Kundenrechner installierte TSO/REXX-ISPF Anwendung unterliegt den IBM 
“Copyright Bestimmungen”. Ohne vorherige Zustimmung der IBM darf der Kunde diese 
Wartungshilfe weder kopieren noch Dritten zuganglich machen. 

Anderungen am von der IBM genutzten Code diirfen nicht vorgenommen werden. 

Datensicherheit 

Grundvoraussetzung fiir Datensicherheit ist die Klassifikation der Daten. 

Somit muB jeder Eigentiimer von Daten seine Daten klassifizieren und dann basierend auf der 
Klassifikation die Zugriffsberechtigungen erteilen. 

Kundendaten, die in den Zustandigkeitsbereich der IBM gelangen unterliegen stets der 
hochsten Klassifikation “IBM Confidential”, was heiBt, die Daten sind vertraulich zu 
behandeln und diirfen Dritten nicht zuganglich gemacht werden. 

Desweiteren verpflichtet sich die IBM samtliche rechtlichen und gesetzlichen Vorschriften, 
wie z.B das Bundesdatenschutzgesetz (BDSG) zu beachten. 

IBM Mitarbeiter, die personenbezogene Daten im Sinne des BDSG verarbeiten, sind gemaB 
§ 5 BDSG auf die Einhaltung der gesetzlichen Bestimmungen verpflichtet. Sie sind dariiber 
hinaus durch ihren Arbeitsvertrag verpflichtet, alle Informationen, die ihnen im Rahmen ihrer 
Tatigkeit fiir die IBM zur Kenntnis gelangen und nicht offentlich verfiigbar sind, geheim zu 
halten. Unterauftragnehmer der IBM werden durch ihren Vertrag mit der IBM verpflichtet 
ihre Mitarbeiter gemaB §5 auf die Bestimmungen des BDSG zu verpflichten. 

Um sicher zu stellen, daB alle IBM Vorschriften eingehalten werden, sind bei der IBM die 
dafiir notigen technischen und organisatorischen Standards eingefiihrt. 

In all den Jahren, in denen ONTOP nun schon eingesetzt wird (seit 1986) ist es nie zu 
SicherheitsverstoBen gekommen, was die zum Thema Datensicherheit getroffenen 
MaBnahmen bestatigt. 

Wir sind daher sicher, daB es durch den Einsatz von ONTOP zu keinen Sicherheitsproblemen 
kommen wird, sich aber die Verfiigbarkeit der mit ONTOP gewarteten Systeme erhohen 
wird. 

Zum Zeichen des Einverstandnisses bitten wir Sie um Riicksendung einer von Ihnen und der 
fiir Sie zustandigen TA-GS gegengezeichneten Ausfertigung dieses Schreibens, an die unter 
ONTOP Ansprechpartner angegebene FAX Nummer. 


Unterschrift IBM (TA-GS) 


Unterschrift des Kunden 


Ort/Datum 


Ort/Datum 
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Kundenvoraussetzungen 

Um eine IP Verbindung schalten zu konnen, muB der Kunde folgende Voraussetzungen 
erfiillen: 

1. IBM Operational Support Servicevertrag (Comfort Line) fur GroBsysteme muB vorliegen 

2. Der Kunden ONTOP Host muB mit einem LAN/Router verbunden sein 

3. Ein Router mit ISDN AnschluB muB vorhanden sein 

4. OS/390-CS muB auf dem Kunde ONTOP Host installiert sein 

5. Ein Telnet Server muB eingerichtet sein 

6. Wenigstens eines der von IBM genutzten Netze sollte nicht genutzt werden 

a. ) ONTOP 

• 172.16.0.0 SM: 255.255.0.0 

• 172.17.0.0 SM: 255.255.0.0 

• 192.168.0.0 SM: 255.255.255.0 

• 192.168.1.0 SM: 255.255.255.0 

b. ) BTOP 

• 172.28.58.0 SM: 255.255.255.0 

• 172.28.59.0 SM: 255.255.255.0 

• 192.168.58.0 SM: 255.255.255.0 

• 192.168.59.0 SM: 255.255.255.0 

7. IP Link Adressen (Dial Circuits) konnen von Kunden vorgegeben werden. 

8. Die mit IBM vereinbarte Sourceadresse muB im Kundennetz geroutet werden 

9. Kunden Router muB “CHAP-fahig” sein. 

Die IBM ubernimmt keine Aufgaben auf Kundenseite. 
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Technische Beschreibung TSO/ONTOP 

TSO/ONTOP ist eine Online Verbindung zwischen IBM und Kunden. 

Es ist eine isolierte Umgebung, limitiert durch das IBM Frontend (NVAS/ONTOP) eine 
Punkt zu Punkt Netzwerkverbindung und die Fehleranalysekomponente (TSO/ONTOP) 
auf Kundenseite. 

TSO/ONTOP Komponenten: 

• NetView Access Applikation (NVAS/ONTOP) auf IBM Seite 

• ISDN/PPP/IP Netzwerkverbindung 

• TSO/REXX/ISPF Anwendung auf Kundenseite 

NetView Access Applikation (NVAS/ONTOP) 

NVAS/ONTOP auf der IBM Seite ist ein zertifiziertes “Security Gateway” das sicheren, 
kontrollierten und dokumentierten Zugriff aus dem IBM SNA Netz heraus auf Kundennetze 
garantiert. 

Netzwerkverbindung 

Die Netzwerkverbindung ist als ISDN/PPP/IP (64Kbps) Wahlverbindung realisiert. 

Es ist eine Punkt zu Punkt Verbindung zwischen einem Router des IBM ITC in Mainz 
und dem angewahlten Kundenrouter. Die logische Verbindung wird nach Auswahl des 
Kunden im NVAS/ONTOP, durch den IBM Spezialisten, zwischen dem IBM ONTOP Host 
und dem Kunden ONTOP Host iiber die vorhandene Routerverbindung geschaltet. 

Wird die Verbindung nicht explizit abgebaut, so geschieht dies spatestens dann, wenn 15 
Minuten lang keine Dateniibertragung stattgefunden hat. 

TSO/REXX/ISPF Anwendung 

Die REXX/ISPF Applikation TSO/ONTOP bietet eine einheitliche Oberflache fur alle 
von der IBM auf Kundenseite fur die Fehleranalyse genutzten Hilfsmittel. 
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Technische Beschreibung BTOP/ONTOP 

BTOP/ONTOP ist wie der Name schon sagt, die Batchvariante zum Online ONTOP. 

Hier geht es darum iiber eine schnelle IP Verbindung groBe Datenvolumen zwischen IBM 
und Kunden auszutauschen. BTOP arbeitet nach dem PUSH/PULL Prinzip und wird stets 
von der IBM Seite gestartet. 

BTOP/ONTOP Komponenten: 

• NetView Access Applikation (NVAS/ONTOP) auf IBM Seite 

• ISDN/PPP/IP Netzwerkverbindung 

• Technische TSO Userid auf Kundenseite / BTOP Anwendung auf IBM Seite 

NetView Access Applikation (NVAS/ONTOP) 

NVAS/ONTOP auf der IBM Seite ist ein zertifiziertes “Security Gateway” das sicheren, 
kontrollierten und dokumentierten Zugriff aus dem IBM SNA Netz heraus auf Kundennetze 
garantiert. 

Netzwerkverbindung 

Die Netzwerkverbindung ist als ISDN/PPP/IP Multilink (256Kbps-2Mbps) Wahlverbindung 
realisiert. Es ist eine Punkt zu Punkt Verbindung zwischen einem Router des IBM TTC in 
Mainz und dem angewahlten Kundenrouter. Die logische Verbindung wird nach Auswahl des 
Kunden im NVAS/ONTOP, durch den IBM Spezialisten, zwischen dem IBM ONTOP Host 
und dem Kunden ONTOP Host, durch Starten eines hinterlegten Jobs, iiber die vorhandene 
Routerverbindung geschaltet. 

5 Minuten nach Ende der Dateniibertragung wird die Verbindung wieder abgebaut. 

BTOP Anwendung 

Die BTOP Anwendung ist auf dem IBM ONTOP Rechner etabliert. Durch Eingabe des 
Datenbestandsnamens in eine entsprechende Bildschirmmaske und betatigen der ENTER 
Taste wir ein TCP/IP-FTP JOB angestoBen, der die Netzverbindung schaltet und dann auf 
dieser Verbindung die Daten iibertragt. 
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Zugriffsschutz 

Um den erhohten Sicherheitsbedenken der Kunden Rechnung zu tragen wird hier mit einem 

dreifachen Zugriffsschutz gearbeitet. 

1. Auf der IBM Seite ist durch ONTOP/NVAS gewahrleistet, daB nur Mitarbeiter, die sich 
mit Userid/Passwort identifizieren konnen auf Kundensysteme zugreifen diirfen. Alle 
Aktivitaten an diesem Security Gateway werden protokolliert und 60 Tage aufbewahrt. 
Ein Zugriff auBerhalb dieses Gateways ist nicht moglich. 

2. Die Verbindungssicherheit, bei der Kommunikation zwischen IBM Router und Kunden 
Router wird durch CHAP (Challenge Handshake Authentication Protocol) gewahrleistet. 
CHAP wird mit bidirektionaler Identifizierung und dem “3-Way Handshake” Verfahren 
eingesetzt. Somit ist gewahrleistet, daB keine Fremdbenutzung der Verbindung moglich 
ist. 

3. Beim Logon zum Kunden ONTOP, das in einer TSO Userid lauft wird emeut auf Userid 
und Passwort gepriift. Auch hier wird nur bei giiltigen Werten der Zugriff erteilt. 

4. Beim Batch Transfer muB der Kunde eine technische Userid bereitstellen, deren 
Userid/Passwort nur den ONTOP Verantwortlichen bekannt ist. Userid/Passwort werden 
verschliisselt bei der IBM gespeichert und nur wahrend der Ausfiihrung des Jobs 
beigesteuert. Den Endbenutzern sind diese Daten weder bekannt, noch zuganglich. 

Die IBM akzeptiert jede weitergehende Sicherheitseinrichtung auf Kundenseite solange diese 

nicht eine sinnvolle Nutzung von ONTOP verhindert. 
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ONTOP Userid und Passwort Verwaltung 

Implementierung 

Um die Verwaltung der ONTOP Userids und der ONTOP Passworter so einfach und sicher 
wie moglich zu gestalten wird folgende Vorgehensweise im RACF empfohlen. 

• Anlegen der ONTOP Benutzer Userids mit: 

- DEFAULT-GROUP = Onnnnnnn - (nnnnnnn = 7 stellige Kundennummer) 

- PASS-INTERVAL = 3 

• Anlegen einer Gruppe ONTOP 

• Connecten aller ONTOP User zu dieser Gruppe 

• Autorisierung eines ONTOP Admin Users mit Special fur die ONTOP Gruppe 

Im Zusammenspiel mit den durch ONTOP zur Verfiigung gestellten Useridverwaltungs- 
routinen ergibt sich so eine einfach zu bedienende Knopfdrucklosung fur den Administrator. 

Nutzung 

Es bleibt dem Kunden iiberlassen die Userid/Passwort Verwaltung selbst durchzufiihren, oder 
der IBM (ONTOP Team) zu iiberlassen. Falls der Kunde die Aufgabe selbst wahr nimmt, 
sollte er nur dann eine ONTOP Userid bereitstellen, wenn der Anrufer die Problemnummer 
nennen kann an der er arbeitet. In unklaren Fallen sollte die IBM Personalnummer des 
Anrufers erfragt werden und beim ONTOP Help Desk unter 06131-84-5003 gegengepriift 
werden. 


Hinweis: Die Einstiegspasswort ist immer Onnnnnnn und wird nicht iibermittelt. 

Der Benutzer muB wiihrend der Logon Phase sein eigenes (neues) Passwort setzen. 


Vorteile: 

• Es ist keine Passwort Ubermittlung notwendig 

• Nur wer die Problemnummer kennt erhalt eine ONTOP Userid 

• Nur wer die Kundennummer kennt, kennt auch das ONTOP Passwort 

• Userid/Pas swort sind personenbezogen 


Falls im Kundenumfeld nicht mit einer dedizierten ONTOP Admin Userid gearbeitet werden 
soil, so ist es auch moglich eine beliebige andere Userid (Userids) zu nutzen, so lange 
folgende Voraussetzungen erfiillt sind: 

• Die Userid hat RACF “SPECIAL” fur die Gruppe ONTOP 

• Die Userid hat im Minimum update Berechtigung auf alle ONTOP Datenbestande 


Dieses Konzept erfordert eine Minimalzahl von 3 ONTOP Benutzer Userids. 

Je nach KundengoBe und Fehleraufkommen sollte dann die Useranzahl nach oben angepaBt 
werden. 
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Goldene Regeln fiir die effiziente Nutzung von TSO/ONTOP 

Die Effizienz von TSO/ONTOP ist direkt von seiner Verfiigbarkeit abhangig. 

Nur ein optimal gepflegtes und auf das Kundensystem angepaBtes TSO/ONTOP kann in jeder 
Fehlersituation fiir den Kunden den bestmoglichen Nutzen bringen. Deshalb sollten stets 
folgende Regeln beim Einsatz von TSO/ONTOP beachtet werden: 


1. Die ONTOP Logon Prozedur und die Kontrolltabellen miissen aktuell gehalten werden: 

- TOPLOG ONTOP Logon Profile 

- TOPENVTO ONTOP Environment Kontrolltabelle 

- TOPENVnn ONTOP Allokations Kontrolltabellen 


2. Die IPCS Member auf der Parmlib miissen zum OS/390 Stand passen 

- BLSCECT IPCS Verbs fiir Dump Formatierung 

- BLSCECTX IPCS Verbs fiir die Dump Formatierung 

- BLSCUSER “NON-Standard Verbs fiir die Dump Formatierung 

- IPCSPRxx IPCS session parameter 


3. ONTOP Datenbestande diirfen nicht ausgelagert werden 

4. ONTOP Userids benotigen eine TSO region size von 256MB 

5. ONTOP Userids sollten in eine optimierte eigene Service Klasse gelegt werden 

6. ONTOP Einsatz, Umfeld und Vorgehensweise sollten bekannt sein 


NUR EIN GEPFEGTES ONTOP IST WERTVOLL, 
EIN UNGEPFLEGTES ONTOP IST WERTLOS ! 
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Verbindungsdaten fiir TSO/ONTOP (bitte ausfullen) 


ISDN Telefonnummer: 

(ggf. Backup Telefonnummer) 




Hardware Router 

(z.B. IBM/Cisco/etc.) 




Securitydaten fiir CHAP 


Vorsicht, die CHAP Implementierung ist 
herstellerspezifisch. Es konnen andere 
Namen verwandt werden. 

CHAP-User: 

CHAP-Pas sword: 

PPP-User: 

PPP-Password: 



IP Konfiguration Dial Circuit 


IP Adresse ISDN Dial Circuit (PPP-Link) 

IP Adresse ISDN Dial Circuit (PPP-Link) 
Subnet Maske 

IP-Kunde: 

IP-IBM: 

SM: 255.255.255.252 



IP Konfiguration Host 


IP Adresse 

IP: 

Host TSO Daten 


User / Password 

(ggf. als FAX oder telefonisch mitteilen) 

User: 

Password: 



IP Konfiguration Host (weiterer Host) 


IP Adresse 

IP: 

Host TSO Daten 


TSO User / Password 

(ggf. als FAX oder telefonisch mitteilen) 

User: 

Password: 



Bei IBM verfiigbare Sourceadressen. 

Bitte gewiinschte Adresse ankreuzen. 

□ 172.16.0.2 (255.255.255.255) 

□ 172.17.0.2 (255.255.255.255) 

□ 192.168.0.2 (255.255.255.255) 

□ 192.168.1.2 (255.255.255.255) 
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Verbindungsdaten fur B TOP/ONTOP 


ISDN Telefonnummer: 

(ggf. Backup Telefonnummer) 




Hardware Router 

(z.B. IBM/Cisco/etc.) 




Securitydaten ftir CHAP 


Vorsicht, die CHAP Implementierung ist 
herstellerspezifisch. Es konnen andere 
Namen verwand werden. 

CHAP-User: 

CHAP-Pas sword: 

PPP-User: 

PPP-Password: 



Bandbreite (Anzahl der Kanale - 4-30) 




IP Konfiguration Dial Circuit 


IP Adresse ISDN Dial Circuit (PPP-Link) 

IP Adresse ISDN Dial Circuit (PPP-Link) 
Subnet Maske 

IP-Kunde: 

IP-IBM: 

SM: 255.255.255.252 



IP Konfiguration Host 


IP Adresse 

IP: 

Host TSO Daten 


User / Password 

(ggf. als FAX oder telefonisch mitteilen) 

User: 

Password: 



IP Konfiguration Host (weiterer Host) 


IP Adresse 

IP: 

Host TSO Daten 


TSO User / Password 

(ggf. als FAX oder telefonisch mitteilen) 

User: 

Password: 



Bei IBM verfiigbare Sourceadressen. 

Bitte gewiinschte Adresse ankreuzen. 

□ 172.28.58.2 (255.255.255.255) 

□ 172.28.59.2 (255.255.255.255) 

□ 192.168.58.2 (255.255.255.255) 

□ 192.168.59.2 (255.255.255.255) 




Hinweis: Bitte nur ausfiillen wenn BTOP auch gewiinscht wird. 
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Ansprechpartner (bitte den Kundenteil ausfullen) 
Generelle Kundendaten 


Kundenname 


Kundennummer 


Software Service Vertragsnummer 



Kundenansprechpartner 


Name des ONTOP Ansprechpartners 


T elefonnummer 


FAX 


E-Mail Adresse 




Name des Router Ansprechpartners 


T elefonnummer 


FAX 


E-Mail Adresse 



IBM Kundenbetreuer 


Mitarbeitemame 


T elefonnummer 


FAX 


E-Mail Adresse 



IBM ONTOP Ansprechpartner 


Ansprechpartner 

ONTOP Helpdesk 

T elefonnummer 

06131-84-5003 

FAX 

06131-84-6611 

E-Mail Adresse 

ONTOP@de.ibm.com 



Ansprechpartner 

Alexander Damm 

T elefonnummer 

06131-84-5646 

FAX 

06131-84-6611 

E-Mail Adresse 

adamm@de.ibm.com 



Ansprechpartner 

Heinz-Dieter Hassinger 

T elefonnummer 

06131-84-5477 

FAX 

06131-84-6611 

E-Mail Adresse 

hhd@de.ibm.com 
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Ubersichtsdiagramm 
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